[发明专利]一种用于物联网设备管理的安全用户认证方法及系统

说明书

本说明书一个或多个实施例提供一种用于物联网设备管理的安全用户认证方法及系统；该方法包括：网关节点响应于对物联网设备的操作指令，向身份认证管理服务器发送认证请求；身份认证管理服务器将密钥句柄、应用程序标识和挑战信息返回至网关节点并中继至硬件令牌；硬件令牌根据私钥对应用程序标识、临时负载信息和计数信息得到签名信息；网关节点将临时负载信息、签名信息和计数信息中继至身份认证管理服务器；身份认证管理服务器根据公钥对签名信息、临时负载信息和计数信息进行检查，得到认证结果并发送至物联网服务器，以使物联网服务器根据认证结果处理对物联网设备的操作指令。本公开的方案能够显著增强物联网设备管理的安全性。

技术领域

本说明书一个或多个实施例涉及物联网技术领域，尤其涉及一种用于物联网设备管理的安全用户认证方法及系统。

背景技术

物联网是新一代信息技术的重要组成部分，也是信息化时代的重要发展阶段，其英文名称是：“Internet of things（IoT）”。物联网的命名有两层意思：其一、物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络；其二、物联网的用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信。

在相关技术中心，物联网设备常常被托管在云服务器以方便管理，用户可以通过云服务器，使用自己的账户对物联网设备进行操作和管理，例如更新固件、配置设备等。然而，用户的帐户可能会被黑客攻击，从而产生对托管的物联网设备的对抗性攻击。攻击者可能会在用户无感知的情况下，通过云服务器远程对托管的物联网设备执行恶意操作。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种用于物联网设备管理的安全用户认证方法及系统。

基于上述目的，本说明书一个或多个实施例提供了一种用于物联网设备管理的安全用户认证方法，应用于包括有网关节点、硬件令牌、身份认证管理服务器和物联网服务器的安全用户认证系统；其中，所述硬件令牌能够通过物理接口与所述网关节点通信连接，且所述硬件令牌存储有向所述身份认证管理服务器注册后得到的私钥和密钥句柄；所述身份认证管理服务器存储有所述硬件令牌对应的公钥和密钥句柄，以及存储有用于管理物联网设备的应用程序的应用程序标识；

所述方法，包括：

所述网关节点响应于所述物联网服务器接到对物联网设备的操作指令，向所述身份认证管理服务器发送认证请求；

所述身份认证管理服务器根据所述认证请求，将所述密钥句柄、所述应用程序标识和随机生成的挑战信息返回至所述网关节点；

所述网关节点检查所述应用程序标识以生成临时负载信息，并将所述应用程序标识、所述密钥句柄和所述临时负载信息中继至所述硬件令牌；

所述硬件令牌根据所述密钥句柄检索得到所述私钥，并更新用于记载已执行的认证次数的计数信息；根据所述私钥对所述应用程序标识、所述临时负载信息和所述计数信息进行签名，得到签名信息；将所述签名信息和所述计数信息返回至所述网关节点，并由所述网关节点将所述临时负载信息、所述签名信息和所述计数信息中继至所述身份认证管理服务器；

所述身份认证管理服务器根据所述密钥句柄检索得到所述公钥，并根据所述公钥对所述签名信息、所述临时负载信息和所述计数信息进行检查，得到认证结果；将所述认证结果发送至所述物联网服务器，以使所述物联网服务器根据所述认证结果处理对物联网设备的操作指令。

基于同一发明构思，本说明书一个或多个实施例还提供了一种用于物联网设备管理的安全用户认证系统，包括：网关节点、硬件令牌、身份认证管理服务器和物联网服务器；其中，所述硬件令牌能够通过物理接口与所述网关节点通信连接，且所述硬件令牌存储有向所述身份认证管理服务器注册后得到的私钥和密钥句柄；所述身份认证管理服务器存储有所述硬件令牌对应的公钥和密钥句柄，以及存储有用于管理物联网设备的应用程序的应用程序标识；